|
[Jan. 18th, 2014|04:24 am] |
Вчера впервые своими глазами увидел заражённый "backdoor / DDoS trojan" Linux. Ubuntu Server 10.04.4 LTS, с открытым ssh на отдельном ip. Когда подсоединился к нему - в памяти висели процессы, тянувшие на себя все ресурсы. Прибил их, отследил, в /etc лежали такие вот файлы: cupsdd, cupsdd.1, ksapd, kysapd, sksapd, skysapd, xfsdx Погуглив по этим названиям, выяснилось, что за последние несколько недель этот malware был обнаружен не только в Ubuntu, но и в CentOS. В обоих описанных случаях, на заражённых серверах был "weak root password". В моём случае причина такая же - на этом сервере использовался слабый пароль.
upd: Файлы берутся вот с этих адресов: http://whois.net/ip-address-lookup/122.224.34.42 http://who.godaddy.com/whois.aspx?domain=dgnfd564sdf.com&prog_id=GoDaddy То есть, скорее всего, троян этот made in China. |
|
|
Comments: |
From: | (Anonymous) |
Date: | January 18th, 2014 - 11:58 am |
---|
| | | (Link) |
|
Не пали годноту
| From: | is3 |
Date: | January 18th, 2014 - 04:06 pm |
---|
| | | (Link) |
|
987654321
Похоже, что это был временный пароль, который забыли поменять.
Да, я так как-то тоже заразился через radmin.
наборы ассоциированных слов типа "я с детства угол рисовал" - надежные пароли?
| From: | is3 |
Date: | April 29th, 2014 - 04:12 pm |
---|
| | | (Link) |
|
| |